CVE-2026-33758 in OpenBaoinfo

Zusammenfassung

von VulDB • 20.05.2026

OpenBao ist ein Open-Source-System zur Verwaltung von secrets basierend auf Identitäten. Vor Version 2.5.2 sind OpenBao-Installationen, bei denen eine OIDC/JWT-Authentifizierungsmethode aktiviert und eine Rolle mit `callback_mode=direct` konfiguriert ist, anfällig für XSS über den Parameter `error_description` auf der Seite für eine fehlgeschlagene Authentifizierung. Dies ermöglicht es einem Angreifer, auf das Token zuzugreifen, das von einem Opfer in der Web-Benutzeroberfläche verwendet wird. Der Parameter `error_description` wurde in v2.5.2 durch eine statische Fehlermeldung ersetzt. Die Schwachstelle kann gemildert werden, indem alle Rollen mit `callback_mode` auf `direct` entfernt werden.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub M

Reservieren

23.03.2026

Veröffentlichung

27.03.2026

Moderieren

akzeptiert

Eintrag

VDB-353934

CPE

bereit

EPSS

0.00287

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!